日前有国内媒体发现暗网中文论坛有黑客叫卖汽车金融平台玖融网的服务器权限可下载该平台所有用户数据。
虽然玖融网的数据仅只30 万左右但泄露的数据极其可怕,黑客要价1个比特币即出售玖融网的后台管理账号。
涉及金融贷款所以玖融网要求用户提交的数据很多,包括常见的身份证号、银行卡、住址和注册手机号码等。
此外玖融网用户的工作单位、月薪、汽车型号和颜色、提交的联系人姓名和手机号码等等信息全部遭到泄露。
所谓安全就是挂羊头卖狗肉:
从黑客公布的信息来看玖融网竟然还在使用 MD5 加密,这种过时的加密算法可以极其轻松的还原真实密码。
而目前主流使用的密码加密策略都是哈希加盐的形式,这样可以保证即便数据库泄露密码也难以被直接破解。
对于包含这么多数据的后台管理账号黑客出价仅1 个比特币,任何人购买都可以直接访问服务器和所有数据。
不幸的是目前黑客已经表示有人支付1 个比特币约35,000元购买成功,很有可能该网站数据已被导出待使用。
玖融网至今仍未发布任何公告:
针对数据泄露事件讲道理应该立即发布安全公告提醒用户谨防诈骗,然而该平台至今没有发布任何安全公告。
在玖融网上依然可以看到形形色色的交易信息和宣传口号等,唯独没有任何提示表明用户账户可能存在风险。
在此也提醒玖融网的用户需要注意后续的诈骗电话和短信等,改密码已无济于事所以只能先提高防范意识了。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/122666.html